本发明涉及互联网身份认证,特别是一种基于区块链的跨域身份认证方法及系统。
背景技术:
1、随着信息化和网络化的深度融合,物联网、移动互联、工业互联网等技术迅猛发展。人类社会已经迈入“万物互联”的信息时代,信息系统也呈现出开放性、大规模性、复杂性等特征。高速发展的信息时代离不开网络空间安全的支撑。大到国家安全战略,小到个人数据安全,网络安全的重要地位越发凸显。网络实体之间信任关系的建立,已成为维护网络空间安全有序的基石。
2、区块链技术的出现,为网络信任体系的建设提供了新的思路。但是区块链上的身份认证对用户数据隐私的保护仍然不够强,区块链虽然能够阻断普通用户将地址和实际身份关联,但身份认证中对用户隐私保护还是不够全面,隐私性不够强。
技术实现思路
1、鉴于上述存在的区块链上的身份认证对用户数据隐私的保护不够强等问题,提出了本发明。
2、因此,本发明所要解决的问题在于如何提供一种基于区块链的跨域身份认证方法。
3、为解决上述技术问题,本发明提供如下技术方案:
4、第一方面,本发明实施例提供了一种基于区块链的跨域身份认证方法及系统,其包括,在访问者使用的浏览器和企业内网之间建立安全的网络访问通道,采用tls加密传输技术,实现外网与内网连接;获取内网的访问网址,利用网址进入内网系统界面;对访问者输入的信息,调用部署在联盟链上的账号验证智能合约进行验证,智能合约连接数据库核验账号密码是否正确,并返回验证结果;在核验密码正确后,获取访问者ip地址,判断是否为新ip地址首次登录,在判断出新ip地址为首次登录后,利用身份识别对访问者身份二次确认;服务器建立终端管控系统;对关键数据加密,建立数据访问权限控制和审计机制;建立安全评估和漏洞扫描机制,持续评估系统安全性,并设计完整网络拓扑结构,明确数据流动路径。
5、作为本发明所述基于区块链的跨域身份认证方法的一种优选方案,其中:所述外网与内网连接的实现步骤如下:构建联盟链,将证书颁发机构和重要组织作为联盟链节点,将证书和身份信息写入区块链共享账本;采用基于区块链的分布式域名系统dns;浏览器与服务器端点之间建立零知识证明通道;对连接传输内容进行加密。
6、作为本发明所述基于区块链的跨域身份认证方法的一种优选方案,其中:所述对连接传输内容进行加密包括以下步骤:浏览器客户端和服务器端协商使用基于椭圆曲线的密钥交换协议,确定使用椭圆曲线参数和基点g,浏览器客户端生成随机私钥kb,计算公钥为:
7、kb=kb×g
8、将kb发送给服务器端;服务器端生成随机私钥ks,计算公钥为:
9、ks=ks×g
10、将ks发送给浏览器端;浏览器端根据协议,生成共享密钥为:
11、k=kbks=kb(ks×g)
12、服务器端根据协议,生成共享密钥为:
13、k=kskb=ks(kb×g)
14、对每条待发送报文m,进行对称加密:生成临时对称加密密钥ktmp,使用ktmp对报文m进行对称加密,输出密文:
15、c=encrypt(ktmp,m)
16、使用共享密钥k对ktmp进行加密,进行输出:
17、k'=encrypt(k,ktmp)
18、将输出k'和密文c一起发送给对方,收到方利用共享密钥k解密k',解密c获得原文m。
19、作为本发明所述基于区块链的跨域身份认证方法的一种优选方案,其中:所述调用部署在联盟链上的账号验证智能合约进行验证,智能合约连接数据库核验账号密码是否正确包括如下内容:在联盟链上开发账号验证智能合约账户验证器,定义验证账号和密码的函数verify(),使用预言机连接访问企业数据库,获取真实账号信息;用户访问登录页面,输入账号和密码,登录请求触发调用账户验证器合约中的verify();账户验证器合约接收到预言机返回结果,如果匹配,则验证成功,返回成功结果,如果不匹配,则验证失败,返回失败结果;登录请求根据智能合约返回的结果判定登录成功或失败,每个验证查询均对应随机的会话id。
20、作为本发明所述基于区块链的跨域身份认证方法的一种优选方案,其中:所述获取访问者ip地址,判断是否为新ip地址首次登录,利用身份识别对访问者身份二次确认包括:服务器对访问者发出的请求解析,解析出访问者所处ip地址;将解析的ip地址与数据库中此用户历史记录中曾经使用的ip地址进行比对;在ip地址匹配成功时,访问者进入企业系统内部,若ip地址无法匹配,访问者需进行面部和声音的二次认证;摄像头捕捉访问者面部轮廓信息,对轮廓图像采集,并对访问者声音识别,在面部与声音均核验成功后,访问者进入企业系统内部。
21、作为本发明所述基于区块链的跨域身份认证方法的一种优选方案,其中:所述安全评估的建立包括以下内容:制定评估指标:数据加密强度:key长度不少于rsa 2048位、aes256位;访问控制粒度:role basedaccess control,至少5级角色划分;审计记录完整性:hash存储比例不低于80%;设定一组评价等级v;因素集u:评价指标,即u={s1(数据加密强度),s2(访问控制粒度),s3(审计记录完整性)};对每个因素(s1,s2,s3)进行模糊评价,生成模糊关系矩阵,设指标权重为:w=(w1,w2,w3),设模糊关系矩阵r,表示为:
22、
23、其中,rij表示第i个因素属于第j个评价等级的隶属度;综合评价b的计算公式如下:
24、b=w×r
25、每个元素表示该等级的隶属程度,选择最大隶属度对应的等级作为最终评价结果。
26、作为本发明所述基于区块链的跨域身份认证方法的一种优选方案,其中:所述漏洞扫描包括,使用黑盒扫描工具和白盒代码审查,定期扫描系统内外网络;模拟攻击行为,扫描攻击面和可利用漏洞;分类评级漏洞风险,制定修补计划。
27、第二方面,本发明为进一步解决存在的区块链上的身份认证仍然缺少对用户数据隐私的保护等问题,实施例提供了基于区块链的跨域身份认证系统,其包括:网络访问通道模块,用于在访问者的浏览器和企业内网之间建立安全的网络访问通道;内网访问入口模块,用于提供和管理访问者获取内网访问网址的过程;账号验证模块,用于调用部署在联盟链上的账号验证智能合约进行验证,智能合约连接数据库核验账号密码,并返回验证结果;身份识别和ip监测模块,用于获取访问者的ip地址,并判断是否为新ip地址首次登录,对访问者身份进行二次确认;终端管控系统,用于建立服务器的安全管理和控制;数据加密和权限控制模块,用于对关键数据进行加密,避免在网络传输中被窃取,建立数据访问权限控制和审计机制,保护数据的完整性和机密性;安全评估和漏洞扫描模块,用于持续评估系统的安全性并扫描潜在漏洞。
28、第三方面,本发明实施例提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其中:所述计算机程序被处理器执行时实现如本发明第一方面所述的基于区块链的跨域身份认证方法的任一步骤。
29、第四方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,其中:所述计算机程序被处理器执行时实现如本发明第一方面所述的基于区块链的跨域身份认证方法的任一步骤。
30、本发明有益效果为,本发明根据访问网站任何用户都能够进入系统界面,在需要进入企业系统内部时,需要进行账号、年龄、密码的身份信息核对,在基本信息核对与数据库内记录相同,后续进行ip地址检测,在新的ip地址首次使用,访问者进行面部、音频校验,在完全一致能够进入企业系统内部,这样,经过层层核对、验证,能够避免外部人员进入企业系统内部,能够提高企业系统安全性,能够避免信息泄露的可能。
1.一种基于区块链的跨域身份认证方法,其特征在于:包括:
2.如权利要求1所述的基于区块链的跨域身份认证方法,其特征在于:所述外网与内网连接的实现步骤如下:
3.如权利要求2所述的基于区块链的跨域身份认证方法,其特征在于:所述对连接传输内容进行加密包括以下步骤:
4.如权利要求3所述的基于区块链的跨域身份认证方法,其特征在于:所述调用部署在联盟链上的账号验证智能合约进行验证,智能合约连接数据库核验账号密码是否正确包括如下内容:
5.如权利要求4所述的基于区块链的跨域身份认证方法,其特征在于:所述获取访问者ip地址,判断是否为新ip地址首次登录,利用身份识别对访问者身份二次确认包括:
6.如权利要求5所述的基于区块链的跨域身份认证方法,其特征在于:所述安全评估的建立包括以下内容:
7.如权利要求6所述的基于区块链的跨域身份认证方法,其特征在于:所述漏洞扫描包括,
8.一种基于区块链的跨域身份认证系统,基于权利要求1~7任一所述的基于区块链的跨域身份认证方法,其特征在于:包括:
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于:所述处理器执行所述计算机程序时实现权利要求1~7任一所述的基于区块链的跨域身份认证方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1~7任一所述的基于区块链的跨域身份认证方法的步骤。
